21.01.2024 | Letztes Update: 21.01.2024

MS Cyberabwehr gecybert

Microsoft meldet, hauseigene Systeme seien von russinesischen Nation-State-Hackteuren kompromittiert worden. Etliche E-Mail-Accounts von Microsoft-Mitarbeitern wurden dabei wohl angezapft. 

The attack was not the result of a vulnerability in Microsoft products or services. To date, there is no evidence that the threat actor had any access to customer environments, production systems, source code, or AI systems.

No evidence, soso. Vielleicht waren die Angreifer auch so clever, keine Spuren zu hinterlassen oder die Protokollierung in eurer Plattform ist so mager, dass keine Spuren erkannt werden können. Aber davon mal abgesehen - wenn es keine Sicherheitslücke war, was dann?

the threat actor used a password spray attack to compromise a legacy non-production test tenant account and gain a foothold, and then used the account’s permissions to access a very small percentage of Microsoft corporate email accounts, including members of our senior leadership team and employees in our cybersecurity, legal, and other functions, and exfiltrated some emails and attached documents.

Allein aus dem Absatz kann man vier wesentliche Punkte herauslesen.

1. Es gab offensichtlich ein öffentlich erreichbares "Legacy"-Testsystem. Öffentlich und Test ist schon mal eine schlechte Idee. Öffentlich und Test und Legacy ist eine noch schlechtere Idee. Da hing also ein gammeliges Entwicklungssystem am offenen Netz, das keine Daseinsberechtigung mehr hatte.
2. "Password-Spray"-Attacks sind mit sehr einfachen Mitteln verhinderbar. Aber offensichtlich gab es am gammeligen, offen erreichbaren Legacy-Testsystem keinen Mechanismus, der Dictionary-Angriffe unterbindet.
3. Eine vernünftige Passwort-Policy, die ein Minimum an Komplexität und Varianz einfordert, gab es wohl auch nicht. Dass der Dictionary-Angriff funktioniert hat, dürfte ein Resultat eines schwachen Passworts gewesen sein.
4. Das gammelige Legacy-Testsystem konnte dazu genutzt werden, um auf Produktionssysteme zuzugreifen. m(

Also aus meiner Sicht ist dieses Versagen im architektonischen Bereich noch schlimmer als ein zufälliger Bug in einem Produkt, denn es zeigt, wie schlampig und kontrollarm in dem Laden offensichtlich gearbeitet wird.

Aber immerhin: Microsofts Pressemeldung, wenngleich albern verschwurbelt, sollte dabei helfen, informierte Entscheidungen bezüglich der zukünftigen Wahl von Software und Plattformen zu fällen.